ビジュアル ファミリーを使用してセキュリティ イベントの関係をマッピングする

以下でサポートされています。

Google Security Operations には、一般的な多くのアラートタイプに対応する事前定義されたビジュアル ファミリーのコレクションが用意されています。デフォルトのビジュアル ファミリーには、すべてのエンティティ タイプと基本的な関係が含まれています。

ビジュアル ファミリーは、セキュリティ イベント内のエンティティ間の関係を表し、主要なアクターとセキュリティ インシデントのフローを特定するのに役立ちます。

各ビジュアル ファミリーは複数のルールで構成されます。各ルールには、最大 4 つの送信元、最大 4 つの宛先、接続タイプが含まれます。ソースと宛先の両方がアラートに関連するエンティティ タイプを表し、それらの間の接続は Typed または Linked のいずれかです。

  • 型付き接続は、アラート内のプライマリ エンティティ(アクター)をリンクします。通常、あるエンティティが別のエンティティ(またはそれ自体)に対して実行するアクションを表し、矢印付きの線として表示されます。各ビジュアル ファミリーには、1 つの型付き接続ルールが含まれている必要があります。
  • リンクされた接続は、ホスト名と IP アドレス、メールアドレスとユーザー名など、論理的に関連する 2 つ以上のエンティティを接続します。この論理的関係を示す点線で表されます。

また、ビジュアル ファミリーは、イベントに関与できるエンティティ タイプを定義します。イベント フィールドをエンティティにマッピングする場合、許可されるエンティティ タイプは、そのイベントタイプに割り当てられたビジュアル ファミリーによって事前に決定されます。

ビジュアル ファミリーは、特定のタイプまたはプロダクトのイベントに適用され、他のイベントと動的に集約されて、アラートとケース全体のビジュアル エンティティ グラフが作成されます。このグラフは、[ イベント設定 > 可視化] ページまたは [探索] ページで確認できます。

ビジュアル ファミリーを定義する

エンティティ間の関係と接続を示すビジュアリゼーションを作成する手順は次のとおりです。

  1. ビジュアル ファミリーが必要なイベントを特定します。
  2. フィールドを分類し、それぞれのエンティティ タイプにマッピングします。この例では、次の Suspicious Connection イベントを使用します。
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. イベント フィールドを次のように特定のエンティティ タイプに分類します。
    フィールド エンティティ タイプ
    hostname SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. [Settings]> [Ontology] > [Visual Families] に移動します。
  5. [ 追加 追加] を選択して、名前と説明を入力します。
  6. プライマリ アクションを特定して、必須の型付き接続ルールを定義します。この例では、プロセスがドメインへの接続を作成したため、process エンティティがソースで、domain エンティティが宛先になります。
  7. リンクされた接続ルールを使用して、論理的に関連するエンティティを定義します。同じイベントの例を使用して、いくつかの関係を観察できます。
    • SourceProcessNameSourceHostName で実行されました。
    • SourceProcessName ハッシュは FileHash エンティティです
    • DestinationDomainDestinationAddress は、プロセスの宛先を表します。
  8. ビジュアル ファミリーを保存します。保存したら、[設定 > オントロジー > ビジュアル ファミリー] テーブルで、ビジュアル ファミリーを表す画像を追加できます。

フローティング エンティティ

フローティング エンティティとは、他のエンティティとの接続がないグラフの可視化に表示されるエンティティです。これにはいくつかの理由が考えられます。効果的なデータ分析と可視化を行うには、その理由を理解することが重要です。

  • ビジュアル ファミリーに接続ルールがない: イベントの表示方法を定義するビジュアル ファミリーに、フローティング エンティティ タイプをイベント内の既存のエンティティ タイプにリンクするルールがない可能性があります。たとえば、User エンティティは定義されているが、「ファイル アクセス」イベントで File エンティティに接続する必要があることを指定するルールがない場合があります。
  • イベントデータが不完全である: イベントデータ自体に、リンクの作成に必要な情報が含まれていない可能性があります。たとえば、ネットワーク接続のイベントに宛先 IP アドレスがない場合、ホスト エンティティに接続できません。
  • 分離されたエンティティ: エンティティが作成されても、他のイベントから参照されない場合、そのエンティティは「分離」されます。たとえば、新しいユーザー アカウントが作成されたものの、まだイベントを生成してリンクするアクションが実行されていない場合などです。

フローティング エンティティに対処するには、次の操作を行います。

  • ビジュアル ファミリーを確認する: エンティティ タイプを接続するために必要なルールがビジュアル ファミリーに存在するかどうかを確認します。そうでない場合は、関係を確立するために新しいルールを作成する必要があります。
  • 未加工のイベントデータを検査する: イベントの未加工データを調べて、マッピングに必要なフィールド(送信元 IP、宛先ポート、ユーザー ID など)が存在するかどうかを確認します。
  • フィールド マッピングを調整する: データは存在するが正しくマッピングされていない場合は、フィールド マッピングを調整して、正しいイベント フィールドがエンティティ プロパティに入力されるようにします。

エンティティを作成する(マッピングとモデリング)方法と、マッピングを構成してビジュアル ファミリーを割り当てる方法についてご確認ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。